Pour tenir les cybercriminels à l’écart, il est essentiel d’identifier rapidement les enregistrements de noms de domaine suspects. DNS Belgium explique quelles sources de données permettent de réaliser ces analyses et ce qu’elles peuvent révéler.
Les campagnes de phishing , la diffusion de logiciels malveillants, les boutiques en ligne frauduleuses ou encore le spam s’appuient souvent sur des noms de domaine. C’est pourquoi il est important pour chaque registre de détecter rapidement et avec précision les enregistrements de noms de domaine suspects.
Pour y parvenir efficacement, nous nous appuyons sur différentes sources de données. Celles-ci sont toutefois souvent dispersées dans l’écosystème numérique. C’est pourquoi Thomas Daniels, chercheur chez DNS Belgium, rédige actuellement un livre blanc en collaboration avec le NetBeacon Institute et la KU Leuven. Ce document recense et explique les principales sources de données à destination des registres, des chercheurs en cybersécurité et des professionnels du secteur.
Avec ce livre blanc, nous souhaitons offrir un point de départ pour explorer les nombreuses sources de données qui permettent de détecter efficacement et rapidement les noms de domaine suspects.
Bien plus qu’une liste noire
Les nombreuses listes de blocage (blocklists) et flux d’informations sur les abus (abuse feeds) recensant des données sur le phishing ou les attaques par malware constituent un point de départ logique. Elles sont utiles, mais ne permettent pas de tout détecter.
Les organisations qui souhaitent identifier les enregistrements suspects le plus tôt possible ont donc intérêt à combiner plusieurs sources de données.
Les données historiques
Pour anticiper l’avenir, il est souvent utile de regarder vers le passé. La base de données historique d’un registre ne fournit pas seulement des informations sur les enregistrements existants, mais aussi sur les modifications, transferts et suppressions effectués au fil du temps.
Combinées à des données concernant des enregistrements malveillants connus, ces informations permettent de mettre en évidence certains schémas récurrents. Des éléments tels que le moment de l’enregistrement ou certaines caractéristiques répétitives peuvent souvent révéler qu’un nom de domaine est suspect, avant même qu’il ne soit utilisé à des fins malveillantes.
Sites web et trafic DNS
L’exploration active d’une zone, comme la zone .be, permet de comprendre comment les noms de domaine sont utilisés. Ces données contribuent ensuite à détecter les boutiques en ligne frauduleuses ou les campagnes de phishing.
Il en va de même pour les données relatives au trafic DNS. L’analyse des requêtes DNS observées dans la pratique et de leur évolution dans le temps peut fournir des signaux précieux pour identifier des noms de domaine suspects ou des botnets.
Enfin, de nombreuses sources de données externes peuvent aider soit à identifier des enregistrements suspects, soit au contraire à les considérer comme légitimes. Les classements de popularité tels que Tranco permettent par exemple d’exclure les domaines fiables. Les données IP et les ensembles de données spécialisés sur les domaines malveillants contribuent également à résoudre ce puzzle complexe.
Avec ce livre blanc, DNS Belgium souhaite contribuer à renforcer la sécurité globale de l’internet. En dressant un panorama des sources de données pertinentes, nous offrons à l’ensemble du secteur un point de départ pour lutter contre les abus du DNS, qu’il s’agisse des registres ou des experts en cybersécurité.
Existe-t-il une approche unique et universelle ? Peut-on éliminer totalement les abus ? Malheureusement non. Toutefois, en combinant plusieurs sources de données et en les analysant sous différents angles, il est possible de détecter et de traiter les abus en ligne plus rapidement.
Nous espérons donc que ce livre blanc constituera une base solide pour toutes les personnes qui contribuent à construire un internet plus sûr.
Vous souhaitez en savoir plus ?
Découvrez comment différentes sources de données peuvent contribuer à détecter plus rapidement les abus du DNS.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.